Prevenção de requisições múltiplas em API exposta ao público

Tecnologia
resiliencia  
em 27/08/21 15:13

Comentários

Último comentário 1º comentário do autor Só moderadores Só quem eu sigo Ordenar por gostei
remiCs  
em 27/08/2021 15:48
Calma jovem

Os seus usuários não devem acessar essa API diretamente. Você terá que ter um backend, e o backend por sua vez que vai se comunicar com essa API. No backend você roda toda a lógica de negócios.

O seu usuário vai se comunicar com a sua API e a sua API por sua vez que irá utilizar API de terceiros.
; 4; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #1 de 12
TomBombadil  
em 27/08/2021 15:52
@Norton92 - a resposta para a sua pergunta é: depende. Não dá para dizer muita coisa sem saber como esse teu sistema ou site está construído.

Mas de maneira geral, o mais recomendado seria você ter um mecanismo de autenticação (auth) implementado e não deixar essa API exposta, porque na rede é muito difícil (ou quase impossível) fazer essa distinção que você quer.

Além disso, mesmo com autenticação, seria necessário/interessante você ter algum mecanismo controle (talvez um throttling) para você regular o volume e frequência de requisições permitidas feitas pelos usuários. Assim, você evita que um usuário, mesmo autenticado, faça mal uso da API.



; 4; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #2 de 12
resiliencia  
em 27/08/2021 16:11
A API não vai rodar no backend, ela vai funcionar assim:

O usuário vai entrar com uma sequência de caracteres em um textfield, por exemplo "parq", e vai enviar isso para api paga, que irá retornar por ex "parque bla bla", e vai aparecer embaixo do textfield uma lista de lugares que tem os caracteres no nome.

A API estou pensando em colocar o Google Maps API, e basicamente ele vai retornar lugares de acordo com o que o usuário entrar.

Não consigo por uma autenticação porque o intuito do site é mostrar imóveis em regiões, se eu tornar isso privado, perde a funcionalidade do site. Seria uma pesquisa como nos sites Zillow, ZapImoveis, etc..
; 2; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #3 de 12
remiCs  
em 27/08/2021 16:21
@Norton92

Realmente você dizendo o contexto Norton, ajuda bastante.

Creio que a própria API que deve ter alguma ferramenta para te ajudar com isso mas vou dá uma olhada nisso e te retorno uma orientação.
; 3; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #4 de 12
ThiagoDV  
em 27/08/2021 16:24
@Norton92 no framework web que eu uso, o Django, há como configurar o throttling de usuários anônimos, não autenticados, de forma simples e fácil. Dependendo do framework que você usar para criar sua aplicação isso pode estar facilmente disponível. Pesquisa sobre throttling na documentação do framework que você está usando.

Basicamente o que eles fazem é controle por IP mesmo no caso de não autenticados. 
; 2; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #5 de 12
remiCs  
em 27/08/2021 16:27
@Norton92

Norton, conforme eu comentei a própria API que vai te ajudar a fazer essa limitação tendo em vista que você precisa deixar as credenciais de uso de forma pública no caso do Google Maps.

How to secure API keys for Google Maps Platform | Google Cloud Blog

No caso de outra API, só verificando no sistema deles mesmo qual é o passo a passo.
; 2; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #6 de 12
resiliencia  
em 27/08/2021 16:37
@remiCs Valeu é quase isso. Esse ai ela explica em como restringir a sua API a um único domínio mas não a quantidade de acessos por usuário. Basicamente pra proteger a sua key de alguém usar em outro site.

@ThiagoDV throttling? Não conheço, eu estou usando framework React pra fazer o site. Vou pesquisar se tem como fazer algo assim
; 2; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #7 de 12
ThiagoDV  
em 27/08/2021 16:39
@Norton92 ah você mesmo não vai ter um backend pelo que entendi. Estuda sobre esse termo throttling e verifica como fazer throttling com rate limit no react. Nem sei se é possível deixar essa responsabilidade pro front. Acho que o caminho mais seguro é ver como a API que vai ser usada pode limitar isso e se adequar. 
; 2; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #8 de 12
remiCs  
em 27/08/2021 16:45
@Norton92 você consegue restringir por IP. Veja se no painel de console do Google tem alguma configuração do tipo "Cada IP só poderá fazer X requisições por segundos".

Sobre React eu conheço bem pouco mas se você usa o Express com o React o que mais tem são pacotes NPM para isso usando o Express. No entanto acho que aplicar o rate limit não tem muita relação com o seu problema.

Pois se alguém pegar suas credenciais do Google Maps não precisa necessariamente fazer requisições usando o seu site. Acredito que o caminho para fazer isso é no próprio painel console do Google mesmo.

html - How do I securely use Google API Keys - Stack Overflow
; 2; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #9 de 12
resiliencia  
em 27/08/2021 17:13
Valeu pessoal, depois vou ver se tem alguma forma lá na própria api de limitar por usuário.

O debounce é uma ideia legal para por no autcomplete, diminuindo o número requisições, porém ainda não impede que usem de forma maliciosa o campo de texto.

Eu encontrei essa solução aqui react-places-autocomplete - npm para quem usa React, pode limitar o número de requisições por tempo usando debounce e também tem uma variável booleana, que permite ou não fazer a busca. Assim acho que da pra salvar a quantidade de requisições feitas e limitar.

Pensei em algo como salvo em um jwt a quantidade de vezes, salvo no localstorage e coloco o vencimento de um dia. Posso limitar a quantidade de requisições por dia, etc...
; 2; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #10 de 12
resiliencia  
em 27/08/2021 17:18
Pensando bem acho que vou ter que lidar com isso no back, porque da pra apagar o token né hahahah. Vou ver isso mais pra frente, pensei que ia ser uma solução mais simples. Como estou focando no front depois eu vou no back e tento uma solução melhor. Valeu pessoal.
; 2; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #11 de 12
ferfox  
em 27/08/2021 17:31
; 3; ; 0;
0 '; 0';
Prevenção de requisições múltiplas em API exposta ao público - #12 de 12

5 usuários comentaram este tópico.
Clique para ir para o primeiro comentário do usuário.

Ações Pesquisa Videos Livros Análise de Carteira Desconto FAQs Orientação Esportiva Ofertas e Serviços Bastter System Boletim IR Podcasts Revista Tecnologia - Ajuda Eu Assinar Ações Pesquisa Videos Livros Análise de Carteira Desconto FAQs Ofertas e Serviços Orientação Esportiva Boletim BS Podcasts IR Tecnologia Ajuda eu Revista Assinar Assinar

BastterZap